একাধিক কম্পিউটার / পরিষেবাদির মধ্যে ব্যক্তিগত কী ফাইলটি ভাগ করা ঠিক আছে কি?


110

সুতরাং আমরা সবাই জানি কীভাবে এসএসএইচ ইত্যাদি ব্যবহার করে পাবলিক কী / প্রাইভেট কীগুলি ব্যবহার করতে হয় তবে সেগুলি ব্যবহার / পুনরায় ব্যবহার করার সর্বোত্তম উপায় কোনটি? আমি কি তাদের চিরতরে নিরাপদ স্থানে রাখতে পারি? মানে, গিটহাব অ্যাক্সেস করার জন্য আমার একজোড়া কী দরকার ছিল। আমি স্ক্র্যাচ থেকে একটি জুড়ি তৈরি করেছি এবং কিছু সময়ের জন্য গিটহাব অ্যাক্সেস করার জন্য এটি ব্যবহার করেছি। তারপরে আমি আমার এইচডিডি ফর্ম্যাট করেছিলাম এবং সেই জুটিটি হারিয়েছি। বড় কথা, আমি একটি নতুন জুড়ি তৈরি করেছি এবং আমার নতুন জুড়িটি ব্যবহার করার জন্য গিটহাব কনফিগার করেছি। নাকি এটি এমন কিছু যা আমি হারাতে চাই না?

আমাদের সংস্থা সিস্টেমগুলি অ্যাক্সেস করতে আমার একজোড়া পাবলিক কী / ব্যক্তিগত কী প্রয়োজন। আমাদের প্রশাসক আমাকে আমার সার্বজনীন কী জিজ্ঞাসা করলেন এবং আমি একটি নতুন জুড়ি তৈরি করে তাকে দিয়েছি। বিভিন্ন সিস্টেমে অ্যাক্সেসের জন্য নতুন জুড়ি তৈরি করা কি ভাল বা একটি সিস্টেমে থাকা এবং এটি বিভিন্ন সিস্টেমে অ্যাক্সেসের জন্য পুনরায় ব্যবহার করা ভাল? একইভাবে, দুটি পৃথক জোড়া তৈরি করা এবং একটি বাড়ি থেকে আমাদের সংস্থাগুলির সিস্টেমগুলি অ্যাক্সেস করতে এবং অন্যটি কাজ থেকে সিস্টেমগুলিতে অ্যাক্সেস করার জন্য ব্যবহার করা আরও ভাল, বা কেবল একটি জোড়া রেখে উভয় স্থান থেকে এটি ব্যবহার করা ভাল?


এটি সরাসরি আপনার প্রশ্নের উত্তর নয়, তবে প্রতিটি কীটির জন্য পাসফ্রেজও রাখার পরামর্শ দেওয়া হচ্ছে। আদর্শভাবে, প্রতিটি কীগুলির জন্য পৃথক পাসফ্রেস (একটি পাসওয়ার্ড পরিচালক ব্যবহার করুন)। কারণটি নিম্নরূপ: যদি কোনও প্রাইভেট কী কীভাবে আপস করা হয় (ল্যাপটপ চুরি হয়ে গেছে, কম্পিউটারটি হ্যাক হয়ে গেছে), তবে কীটি নিখরচায় চাপিয়ে দেওয়ার আগে আপনার কিছুটা সময় থাকতে হবে এবং আপনার যে সমস্ত মেশিন রয়েছে তাতে আপনি পাবলিক কীটি প্রতিস্থাপন করতে পারবেন আপনার আক্রমণকারী পারার আগে। সূত্র: help.ubuntu.com/commune/SSH/OpenSSH/…
জ্যানডোর শিফার

উত্তর:


86

উত্স অনুসারে আপনার অবশ্যই পৃথক ব্যক্তিগত কী থাকা উচিত । মূলত এর অর্থ হ'ল সাধারণত প্রতিটি ব্যক্তিগত কী এর একক অনুলিপি থাকতে হবে (ব্যাকআপগুলি গণনা করছে না)। ঘনিষ্ঠভাবে সম্পর্কিত মেশিন থেকে একই প্রাইভেট কীটি ব্যবহার করা ঠিক আছে, এমন পরিস্থিতিতে যেখানে একটিতে ভাঙ্গা আপনাকে মূলত অন্যটির অ্যাক্সেস দেয় (উদাহরণস্বরূপ যদি তারা একে অপরের সাথে থাকে shosts.equiv)। বিভিন্ন মহলগুলিতে মেশিনে একই প্রাইভেট কী ব্যবহার করবেন না (যেমন বাড়ি এবং কাজ), কখনও কখনও দুটি ব্যবহারকারীর মধ্যে একটি ব্যক্তিগত কী ভাগ করবেন না এবং ল্যাপটপ এবং অন্য কোনও মেশিনের মধ্যে কোনও ব্যক্তিগত কী কখনই ভাগ করবেন না।

বেশিরভাগ অংশে, আমি বিভিন্ন গন্তব্যের জন্য পৃথক ব্যক্তিগত কী থাকার বিন্দুটি দেখতে পাচ্ছি না। যদি একটি ব্যক্তিগত কী আপোস করা হয়, একই ডিরেক্টরিতে সঞ্চিত অন্য সমস্ত ব্যক্তিগত কী অবশ্যই অবশ্যই আপস করা হবে, তাই সুরক্ষার সুবিধার জন্য কোনও জটিলতা থাকতে হবে।

আপনি যদি এই নীতিগুলি অনুসরণ করেন তবে প্রতিটি কী জুটি একটি (মেশিন, ব্যবহারকারী) জুটি সনাক্ত করে, যা অনুমোদনের ব্যবস্থাপনাকে সহজ করে তোলে।

আমি উত্স অনুসারে একক ব্যক্তিগত কী এর সাধারণ নিয়মের দুটি ব্যতিক্রম সম্পর্কে ভাবতে পারি:

  • আপনার যদি পাসওয়ার্ডহীন কী থাকে যা নির্দিষ্ট মেশিনে কেবলমাত্র একটি নির্দিষ্ট কমান্ডের (যেমন একটি স্বয়ংক্রিয় ব্যাকআপ বা বিজ্ঞপ্তি প্রক্রিয়া) অ্যাক্সেস দেয়, সেই কীটি অবশ্যই সাধারণ শেল অ্যাক্সেস কী থেকে আলাদা হওয়া উচিত।
  • যদি কিছু মেশিন মাঝেমধ্যে সংযুক্ত থাকে, আপনি নতুন কীটি লাগানো শেষ না করা পর্যন্ত আপনার একটি নতুন ব্যক্তিগত কী পাশাপাশি একটি পুরানো ব্যক্তিগত কী থাকতে পারে।

5
এইভাবে আমি সর্বদা আমার কীপায়ারটি ব্যবহার করেছি। আমি বুঝতে পারি না যে গিটহাব তাদের সেটআপের নির্দেশাবলীতে কেন একটি নতুন কীপেন তৈরি করার পক্ষে পরামর্শ দিচ্ছে। আমি এটিকে উপেক্ষা করে আমার স্ট্যান্ডার্ড কিপায়ারটি ব্যবহার করেছি। আমি ধরে নিচ্ছি তারা রক্ষণশীল হচ্ছে।
টুলবার্ল Nov৪

ঠিক আছে, তাই আপনি বলেছেন যে "বিভিন্ন রাজ্যে মেশিনে একই প্রাইভেট কী ব্যবহার করবেন না" তবে ডিএনএস যদি আপনার অবস্থানের উপর নির্ভর করে কোনও মেশিনকে প্রদত্ত হোস্টের নামটি সমাধান করে? প্রাইভেট কীটি ভাগ না করে আমি সতর্কতা বা ব্যর্থতাগুলি পাই যখন আমি এই হোস্টের নামটিতে ssh বা rsync চেষ্টা করি কারণ ssh একই হোস্ট নামের জন্য দুটি পৃথক কী থাকার কারণে বিভ্রান্ত হয়।
মাইকেল

@ মিশেল আমি বুঝতে পারি না যে আপনি বর্ণিত দৃশ্যে ব্যবহারকারী কীগুলির সাথে আপনার কী সমস্যা থাকতে পারে , যা এই থ্রেডটি সম্পর্কে about এসএসএইচ হোস্ট কীগুলি সম্পর্কে বিভ্রান্ত হয়ে উঠবে , তবে ব্যবহারকারী হিসাবে আপনি যা দেখছেন সেটি হোস্টের পাবলিক কী, হোস্টের ব্যক্তিগত কী নয়, এবং হোস্টের ব্যক্তিগত কী ভাগ করা বিপজ্জনক - আমি কেবলমাত্র সুপারিশ করি যদি হোস্টগুলি সম্পূর্ণ সমতুল্য হয় (অপ্রয়োজনীয় যদি তাদের মধ্যে একটি ব্যর্থ হয়), এবং সম্ভবত তখনও না।
গিলস

আহ, ঠিক আছে. দেখে মনে হচ্ছে দুজনের মধ্যে খুব একটা স্পষ্ট পার্থক্য নেই, এবং এটি কেবল ধরে নেওয়া হয়েছে যে আপনি জানেন যে কোনটি সম্পর্কে কথা বলা হচ্ছে।
মাইকেল

1
@ জেএসবাচ রাজ্যের প্রতি পৃথক কী থাকার ফলে আপনি সূক্ষ্ম-গ্রেঞ্জযুক্ত অনুমতিগুলি সংজ্ঞায়িত করতে পারবেন (স্বল্প-সুরক্ষার ক্ষেত্র এ-তে থাকা কীটি এ এর ​​মেশিনের মধ্যে ব্যবহারের জন্য অনুমোদিত, তবে বিতে লগ ইন করার জন্য আরও শক্তিশালী প্রমাণীকরণের উপাদান প্রয়োজন) এবং সেগুলি আপনাকে প্রত্যাহার করার অনুমতি দেয় পৃথকভাবে (রাজস্ব A আপোস হয়েছে, তবে আমি এখনও বি থেকে সি লগ ইন করতে পারি)। আপনি সর্বাধিক সুরক্ষা সিস্টেমে লগইন করেন এবং এরপরে আপনি অন্য কোথাও লগ ইন করতে পারেন এমনটি এসএসও। আমি জানি না যে প্রতি ব্যবহারকারীকে একাধিক কী থাকার ফলে তারা কী ঝুঁকি দেখছে। এটি তথ্য সুরক্ষার জন্য একটি বিষয় হবে ।
গিলস

4

আমি সেরা উপায় কি জানি না তবে আমার উপায়টি আমি বলতে পারি।

সিসাদমিন হিসাবে আমি প্রতিটি সার্ভার / পরিষেবা রুট হিসাবে অ্যাক্সেস করতে আলাদা কী ব্যবহার করি। এইভাবে, যদি কোনও কী হারিয়ে যায় বা আপস করা হয় তবে আমি ঝুঁকিটিকে একটি একক সার্ভারে সীমাবদ্ধ করি এবং আমার নতুন পরিষেবাগুলি দিয়ে আমার সমস্ত পরিষেবা আপডেট করার দরকার নেই।

ব্যবহারকারীদের কথা বললে, আমি তাদের প্রত্যেকের জন্য আলাদা কী ব্যবহার করি। এই কীটির সাহায্যে ব্যবহারকারী অনিবদ্ধ ব্যবহারকারী হিসাবে তার প্রয়োজনীয় পরিষেবাটি অ্যাক্সেস করতে পারে। এইভাবে, আমি প্রতিটি ব্যবহারকারীর জন্য একক পরিষেবাদিতে সহজেই মঞ্জুর বা প্রত্যাহার করতে পারি। ব্যবহারকারী তার কীটি হারাতে পারলে আমি এটিকে সমস্ত পরিষেবা থেকে মুছে ফেলতে পারি এবং অননুমোদিত অ্যাক্সেসের ঝুঁকি সীমাবদ্ধ করতে পারি।


+1 I´m আমার বসের সাথে একটি নতুন কী ব্যবহারের নীতি সম্পর্কে কথা বলতে যাচ্ছি ;-) প্রতি সার্ভার / পরিষেবা কেবল প্রতিটি নেটওয়ার্কের চেয়েও সুরক্ষিত মনে হচ্ছে
ডিস্কিলা

1

আমি বিশ্বাস করি আপনি প্রাইভেট কীটি যতোক্ষণ ব্যবহার করতে পারবেন যতক্ষণ আপনি এটিতে পাসফ্রেজ রাখেন, আপনি যদি কয়েকটি প্রাইভেট কী ব্যবহার করে নিজের প্রাইভেট কীটি ভাগ করে নিতে চান তবে ল্যাপটপ 1, 2, ডেস্কটপ 1, 2 বলুন, ঠিক আছে।

আমার অভিজ্ঞতা থেকে, আমার প্রধান মেশিনটি আমার ডেস্কটপ যা আমি বেশিরভাগ কাজটি তার শক্তিশালী প্রসেসরের সাহায্যে করি, তবে মাঝে মাঝে আমার ল্যাপটপটি মোবাইলে ব্যবহার করা, ডেটা সেন্টার এবং স্টাফগুলিতে সমস্যা সমাধানের প্রয়োজন হয়, তাই আমি এখনও কোনও হোস্টে লগইন করতে পারি could যে আমার আমার সার্বজনীন কী থাকে।


1
এখানে সেরা উত্তর পড়ুন। আপনি এটা ভুল করছেন. এটি এমন নয় যে আপনি এটি সেভাবে করতে পারবেন না তবে আপনার করা উচিত নয়।
ফিল্ট

2
কেন সব ডাউনটা আছে তা দেখতে পাচ্ছি না। বিশ্ববিদ্যালয় নেটওয়ার্কগুলিতে (উদাহরণস্বরূপ) প্রায়শই একটি নেটওয়ার্কযুক্ত হোম ডিরেক্টরি থাকে, সুতরাং একই ব্যক্তিগত কী ব্যবহারকারীর দ্বারা সর্বত্র ব্যবহৃত হয়, এমনকি আপনাকে দেওয়া ল্যাপটপেও। যতক্ষণ না আপনি এটি ইন্টারনেটে এনক্রিপ্ট করা অনুলিপি না করেন, তবে আমি ঝুঁকিটি বুঝতে পারলে আমার মনে হয় এটি ঠিক আছে। রক্তাক্ত আরও সেইসাথে সুবিধাজনক, আপনার পাবলিক কীটি আপনার আলাদা আলাদা মেশিনে লগইন করার কারণে 2,000 টি আলাদা জায়গায় আপনার যুক্ত করতে হবে না।
আসফ্যান্ড কাজী

উত্সাহিত করা হয়েছে কারণ এই উত্তরটির জন্য আপনার প্রতিদান হারাতে হবে না। এটি ব্যক্তিগত পছন্দ, স্পষ্টতই প্রতি পরিষেবা এবং মেশিনে পৃথক কী ব্যবহার করা আপনাকে শেষ পর্যন্ত আরও নিয়ন্ত্রণ দেয় তবে কখনও কখনও এটি আপনার ব্যবহারের ক্ষেত্রে নির্ভর করে সময় ব্যয় করে।
ড্যানিয়েল ডিহার্স্ট

0

আমার সংস্থায় আমরা এই কী ব্যবহারকারীকে নির্দিষ্ট করে ব্যবহার করি। তার মানে কেস টু। ব্যবহারকারীর নিজস্ব চাবি রয়েছে এবং এটি একটি সংস্থা সিস্টেমে সংযোগ করতে ব্যবহৃত প্রতিটি মেশিনের জন্য ব্যবহৃত হয়। আমার মতামত একটি সিস্টেমের জন্য একটি কী ব্যবহার করা। তার অর্থ আপনি যে নির্দিষ্ট মেশিনে সংযোগ স্থাপন করতে হবে তা প্রতিটি মেশিনে আপনি এই কীটি ব্যবহার করেন। আপনার ক্ষেত্রে এটি গিটহাবের জন্য একটি কী এবং সংস্থা সিস্টেমের জন্য একটি কী হবে। সুতরাং, আপনার প্রশাসক যদি আপনাকে আবার জিজ্ঞাসা করে তবে আমি তাকে গতবারের মতো একই কী দিয়ে দেব। নতুন নয় তবে, আমি জানি না এই কীগুলির জন্য একটি সাধারণ ব্যবহারের নীতি আছে কিনা এবং তখন থেকেই আমি এটি ভুল করছি। নিশ্চিত যে সম্ভব ;-)


0

আপনার তৈরি করা সর্বজনীন কী সবার জন্য। এটি তাদেরকে ক) অনুমোদনের চেক খ) আপনার জন্য এনক্রিপ্টের অনুমতি দেবে

ব্যক্তিগত কীটি, ভাল, ব্যক্তিগত। এটা শুধুমাত্র আপনার জন্য। এবং এটি আপনার কাছে নিরাপদ জায়গায় কোথাও ব্যাকআপ করা উচিত key উদাহরণস্বরূপ আপনি যদি এটি কোনও ইউএসবি স্টিকে সংরক্ষণ করেন তবে আপনি এটি নিরাপদ পাসওয়ার্ড দিয়ে এনক্রিপ্ট করতে পারেন।

সর্বজনীন কী অন্যদের কাছে আপনার পরিচয়। সুতরাং কোনও সমস্যা নেই / প্রত্যেকটির জন্য একটি কী জুড়ি ব্যবহার করা ভাল, কমপক্ষে যেখানে আপনি একটি সুস্পষ্ট নতুন পরিচয় ব্যবহার করতে চান না, তাই অন্যেরা জানতে পারবেন না যে এটি আপনি।


3
ধন্যবাদ, তবে আপনার উত্তরটি বেশিরভাগ ক্ষেত্রেই আমার প্রশ্নের সাথে সম্পর্কিত নয়। @ ডিস্কিলার উত্তর দেখুন।
বেহারং
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.